小编点评

**资源简介** 在 Windows PE 中，资源是指可执行文件中的静态数据集合，例如图标、对话框、字符串、位图、版本信息等。 PE 文件中的资源被组织成一个树形结构，称为 **PIMAGE_RESOURCE_DIRECTORY**。 **PIMAGE_RESOURCE_DIRECTORY 结构** PIMAGE_RESOURCE_DIRECTORY 是一个结构，用于描述 PE 文件资源的目录结构。每个资源目录包含以下字段： - **Characteristics：** 指定该目录的属性，如允许命名、是否允许ID等。 - **TimeDateStamp：** 指定该目录的时间戳。 - **MajorVersion / MinorVersion：** 指定PE文件中允许的最高版本和最低版本。 - **NumberOfNamedEntries：** 指定该目录中已经命名的资源条目数量。 - **NumberOfIdEntries：** 指定资源ID类型的数量。 - **PIMAGE_RESOURCE_DIRECTORY_ENTRY：** 指向资源入口表，即 PE 文件每个资源的入口地址。 **解析资源信息** 可以使用 **PIMAGE_DATA_DIRECTORY** 和 **PIMAGE_RESOURCE_DIRECTORY** 结构来解析 PE 文件资源。通过循环遍历 **PIMAGE_RESOURCE_DIRECTORY_ENTRY** 中的每个节点，可以获取资源的名称、类型、语言等信息。 **示例代码** ```c // 定义资源表解析结构 static char* szResName[0x11] = { 0, (char*)\"鼠标指针\", (char*)\"位图\", (char*)\"图标\", (char*)\"菜单\", (char*)\"对话框\", (char*)\"字符串列表\", (char*)\"字体目录\", (char*)\"字体\", (char*)\"快捷键\", (char*)\"非格式化资源\", (char*)\"消息列表\", (char*)\"鼠标指针组\", (char*)\"zz\", (char*)\"图标组\", (char*)\"xx\", (char*)\"版本信息\" }; // 获取到资源目录表 PIMAGE_DATA_DIRECTORY pData = NtHeader->OptionalHeader.DataDirectory; // 获取到资源目录表 pData = &(pData[IMAGE_DIRECTORY_ENTRY_RESOURCE]); // 获取到资源目录表的偏移 DWORD dwResOffset = RVAtoFOA(pData->VirtualAddress); // 获取到资源目录表 PIMAGE_RESOURCE_DIRECTORY pRes = (PIMAGE_RESOURCE_DIRECTORY)(GlobalFileBase + dwResOffset); // 获取紧跟着的IMAGE_RESOURCE_DIRECTORY_ENTRY的个数 DWORD dwResSize = pRes->NumberOfNamedEntries + pRes->NumberOfIdEntries; // 获取到PIMAGE_RESOURCE_DIRECTORY_ENTRY PIMAGE_RESOURCE_DIRECTORY_ENTRY pResEntry = (PIMAGE_RESOURCE_DIRECTORY_ENTRY)(pRes + 1); // 打印资源信息 for (int i = 0; i < dwResSize; i++) { if (pResEntry[i].Characteristics & CHAR_BIT_NAME) { printf("%s ", pResEntry[i].Name); } else if (pResEntry[i].Characteristics & CHAR_BIT_TYPE) { printf("%s ", szResName[pResEntry[i].Id]); } } ``` **输出结果** ``` 鼠标指针 图标 菜单 对话框 字符串列表 字体目录 字体 快捷键 非格式化资源 消息列表 鼠标指针组 zz 图标组 xx 版本信息 ```

正文

在Windows PE中，资源是指可执行文件中存放的一些固定不变的数据集合，例如图标、对话框、字符串、位图、版本信息等。PE文件中每个资源都会被分配对应的唯一资源ID，以便在运行时能够方便地查找和调用它们。PE文件中的资源都被组织成一个树形结构，其中最顶层为根节点（Root），下一级为资源类型（Type），再下一级为资源名称（Name），最终是实际的资源内容。

PIMAGE_RESOURCE_DIRECTORY是Windows PE可执行文件中的一个结构类型，用于描述资源（Resource）的树形结构，其中包括了每个资源的类型（Type）、名称（Name）和语言（Language），以及指向下一级PE资源目录的地址和相关信息等。

typedef struct _IMAGE_RESOURCE_DIRECTORY_ENTRY
{
    union {
        struct {
            DWORD NameOffset:31;
            DWORD NameIsString:1;
        } DUMMYSTRUCTNAME;
        DWORD   Name;
        WORD    Id;
    } DUMMYUNIONNAME;
    union {
        DWORD   OffsetToData;
        struct {
            DWORD   OffsetToDirectory:31;
            DWORD   DataIsDirectory:1;
        } DUMMYSTRUCTNAME2;
    } DUMMYUNIONNAME2;
} IMAGE_RESOURCE_DIRECTORY_ENTRY, *PIMAGE_RESOURCE_DIRECTORY_ENTRY;

PIMAGE_RESOURCE_DIRECTORY描述了Windows PE资源的目录结构，每个资源目录包括以下字段：

• Characteristics：指定该目录的属性，如是否允许命名、是否允许ID等；
• TimeDateStamp：指定该目录的时间戳；
• MajorVersion / MinorVersion：指定PE文件中允许的最高版本和最低版本；
• NumberOfNamedEntries：指定该目录中已经命名的资源条目数量；
• NumberOfIdEntries：指定资源ID类型的数量；
• PIMAGE_RESOURCE_DIRECTORY_ENTRY：指针，指向资源入口表，即PE文件中每个资源的入口地址。
• PIMAGE_RESOURCE_DIRECTORY_ENTRY用于引用PE文件中资源的名称、类型和语言信息，它包括了Name/Id：指定资源的名称或ID，根据缩小范围的优先级进行查找，ID的优先级高于名称；
• OffsetToData：指向该资源的数据偏移地址或其Resource Data Entry的地址。

读者在解析时通常需要在数据目录表PIMAGE_DATA_DIRECTORY中定位到IMAGE_DIRECTORY_ENTRY_RESOURCE资源表，通过循环的方式以此遍历出PIMAGE_RESOURCE_DIRECTORY_ENTRY中的每一个节点，最终输出资源信息，这段输出代码如下所示；

// --------------------------------------------------
// 定义资源表解析结构
// --------------------------------------------------
static char* szResName[0x11] = { 0, (char*)"鼠标指针", (char*)"位图", (char*)"图标", (char*)"菜单", (char*)"对话框", (char*)"字符串列表", (char*)"字体目录", (char*)"字体", (char*)"快捷键", (char*)"非格式化资源", (char*)"消息列表", (char*)"鼠标指针组", (char*)"zz", (char*)"图标组", (char*)"xx", (char*)"版本信息" };


int main(int argc, char * argv[])
{
    BOOL PE = IsPeFile(OpenPeFile("c://pe/x86.exe"), 0);

    if (PE == TRUE)
    {
        // 获取数据目录表
        PIMAGE_DATA_DIRECTORY pData = NtHeader->OptionalHeader.DataDirectory;

        // 获取到资源目录表
        pData = &(pData[IMAGE_DIRECTORY_ENTRY_RESOURCE]);

        // 获取资源目录表的偏移
        DWORD dwResOffset = RVAtoFOA(pData->VirtualAddress);

        // 获取到资源目录表
        PIMAGE_RESOURCE_DIRECTORY pRes = (PIMAGE_RESOURCE_DIRECTORY)(GlobalFileBase + dwResOffset);

        // 获取紧跟着的IMAGE_RESOURCE_DIRECTORY_ENTRY的个数
        DWORD dwResSize = pRes->NumberOfNamedEntries + pRes->NumberOfIdEntries;

        // 获取到PIMAGE_RESOURCE_DIRECTORY_ENTRY 
        PIMAGE_RESOURCE_DIRECTORY_ENTRY  pResEntry = (PIMAGE_RESOURCE_DIRECTORY_ENTRY)(pRes + 1);

        printf("资源类型ID \t 类型 \n");

        for (DWORD i = 0; i < dwResSize; i++)
        {

            // 如果为0则执行
            if (!pResEntry[i].NameIsString)
            {
                if (pResEntry[i].Id < 0x11)
                {
                    // printf("资源类型ID: %p --> 类型: %s\n", pResEntry[i].Id, szResName[pResEntry[i].Id]);
                    printf("%p \t %s \n", pResEntry[i].Id, szResName[pResEntry[i].Id]);
                }
                else
                {
                    char  type[20];
                    sprintf_s(type, "%d", pResEntry[i].Id);
                    // printf("资源类型ID: %p --> 类型: %s\n", pResEntry[i].Id, type);
                    printf("%p \t %s \n", pResEntry[i].Id, type);
                }
            }
            // 如果为1则执行
            else
            {
                PIMAGE_RESOURCE_DIR_STRING_U pstcString = (PIMAGE_RESOURCE_DIR_STRING_U)((DWORD)pRes + pResEntry[i].NameOffset);
                WCHAR szStr[MAX_PATH] = { 0 };
                memcpy_s(szStr, MAX_PATH, pstcString->NameString, pstcString->Length * sizeof(WCHAR));
                // printf("资源字符串: %ls\n", szStr);
            }
        }
    }
    else
    {
        printf("非标准程序 \n");
    }

    system("pause");
    return 0;
}

编译并运行上述程序片段，则读者可以看到当前程序中所包含的所有资源信息，为了简单可用此处并没有输出递归资源，仅仅输出了第一层，输出效果图如下所示；

本文作者： 王瑞
本文链接： https://www.lyshark.com/post/6532d336.html
版权声明： 本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！